没有管理员或sudo特权的用户运行的恶意软件会损害我的系统吗？[关闭]

最近在运行Linux的计算机上发生故障之后，我在用户的主文件夹中找到了一个密码较弱的可执行文件。我已经清理了似乎所有的损坏，但是为了确保可以完全擦拭干净，我正在准备中。

非sudo或不受特权的用户运行的恶意软件可以做什么？只是在寻找带有世界可写许可标记的文件进行感染吗？非管理员用户可以在大多数Linux系统上执行哪些威胁性操作？您能否提供这种安全漏洞可能导致的现实问题的一些示例？

大多数普通用户可以发送邮件，执行系统实用程序以及创建侦听更高端口的网络套接字。这意味着攻击者可以

• 发送垃圾邮件或网络钓鱼邮件，
• 利用仅在系统内部可见的任何系统配置错误（考虑具有允许的读取权限的私钥文件），
• 设置服务以分发任意内容（例如色情洪流）。

这究竟意味着什么取决于您的设置。例如，攻击者可能发送的邮件看起来像是来自您公司的邮件，并且滥用了服务器的邮件信誉；如果已设置了诸如DKIM之类的邮件身份验证功能，则更是如此。在您的服务器的代表受到感染并且其他邮件服务器开始将IP /域列入黑名单之前，此方法一直有效。

无论哪种方式，从备份还原都是正确的选择。

大多数答案都缺少两个关键词：特权提升。

攻击者可以访问一个非特权帐户，这使他们更容易利用操作系统和库中的错误来获得对系统的特权访问。您不应该假定攻击者仅使用了他们最初获得的非特权访问。

A rm -rf ~或类似的东西会带来灾难性的后果，并且您不需要root特权。

勒索软件

由于您可能已经注意到它，因此它并不适合您的情况，但是对于当今流行的勒索软件攻击（对您的所有文档进行加密并提供出售解密密钥的功能），足以获得无特权的访问。

它无法修改系统文件，但与从通常已过时或不存在的备份中恢复有价值的用户数据（业务文档，家庭图片等）相比，从头开始重建系统通常很简单。

最常见的（根据我的经验，从我的观点来看）：

• 发送垃圾邮件

• 发送更多垃圾邮件

• 感染其他电脑

• 设置网络钓鱼站点

• ...

病毒可以感染LAN网络中的所有计算机，并提升特权以获取root用户访问权限Wiki-Privilege_escalation

特权提升是利用操作系统或软件应用程序中的错误，设计缺陷或配置监督来获得对通常受到应用程序或用户保护的资源的更高访问权限的行为。结果是，具有比应用程序开发人员或系统管理员想要的特权更多的应用程序可以执行未经授权的操作。

我想到了很多潜在的可能性：

• 拒绝服务：它可能在您的计算机上或更可能在您的计算机上，以您自己的资源为代价，使用您的计算机攻击第二台计算机。
• 我的比特币。使用CPU来赚钱似乎很吸引人
• 如果浏览器容易受到攻击，他们将尝试将您重定向到各种网站，安装栏或显示弹出式窗口，这些都将为其带来收入。幸运的是，这在Linux中似乎更难，或者垃圾邮件发送者对此不那么擅长。
• 获取用于商业用途的私人数据并将其出售给他人。仅针对受感染的用户：出生日期，电话（如果在浏览器缓存中）。
• 访问服务器中其他可读的文件。
• 创建可能要求输入root密码的恶意脚本。例如，在您的bash中，他们可能尝试将sudo重定向到其他东西来获取密码。
• 在浏览器中获取存储的密码，或尝试记录您的银行信用凭证。这可能很难，但肯定会很危险。使用gmail，他们可能会获得Facebook，偷走您的蒸汽帐户，亚马逊等。
• 安装对您的用户有效的恶意证书

当然，这是最坏的情况，所以不要惊慌。其中一些可能会被其他安全措施阻止，并且一点也不微不足道。

信息^[1]

恕我直言，漏洞利用程序可以做的最可怕的事情之一就是收集信息，并保持隐藏状态，以便当您的注意力减少时（每天晚上或节假日都适合）时，它会再次出现并发动攻击。
以下只是我想到的第一个原因，您可以添加其他人和其他人...

• 有关您正在运行的服务，其版本和弱点的信息，尤其要注意出于兼容性原因而可能需要保留的过时服务。
• 更新它们和安全补丁的周期性。要坐在公告栏前面，等待合适的时机，然后尝试回来。
• 用户的习惯，什么时候会引起更少的怀疑。
• 您设置的防御措施。
• 如果甚至获得了部分root访问权限，每个用户在此计算机和其他计算机上的ssh-keys，授权主机和密码（假设某人执行的命令都以传递的密码作为参数，则甚至不需要root特权）。可以扫描内存并将其提取。我再说一遍：以两种方式，从您的机器到您的机器。借助两台计算机之间的2面SSH授权，他们可以继续从受感染的帐户中弹入和退出。

由于上述原因以及您可以从其他答案中读取的所有其他原因，请放平机器并监视将来的密码和密钥。

^{[1]并非真正引用希区柯克的话：“开枪虽然能持续片刻，但挥舞武器的手却能拍整部电影”}